Introduzione
Immagina di essere l'amministratore di GitHub per un progetto e di voler assicurarti che il codice non includa vulnerabilità o errori di sicurezza. Il controllo manuale della codebase può richiedere molto tempo, soprattutto se è di grandi dimensioni. La società ha appena acquistato una licenza di GitHub Advanced Security che consente di risparmiare tempo e lavoro richiesto grazie all'uso dell'analisi del codice. Con la scansione del codice, ricevi avvisi che indicano qualsiasi codice problematico. Quindi, puoi trovare rapidamente le aree problematiche e apportare le modifiche necessarie. Per abilitare l'analisi del codice, è necessario conoscere quali strumenti e funzionalità sono disponibili. È anche necessario comprendere la frequenza con cui eseguire l'analisi del codice e i tipi di eventi che è possibile usare per attivare le analisi.
Questo modulo presenta l'analisi del codice e le relative funzionalità. Si apprenderà come implementare l'analisi del codice usando CodeQL, strumenti di terze parti e GitHub Actions. Si apprenderanno anche i diversi modi in cui è possibile configurare l'analisi del codice per ottimizzare l'esperienza.
Obiettivi di apprendimento
Al termine di questo modulo si sarà in grado di:
- Descrivere l'analisi del codice.
- Elencare i passaggi per abilitare l'analisi del codice in un repository.
- Elencare i passaggi per abilitare l'analisi del codice con analisi di terze parti.
- Confrontare la modalità di implementazione dell'analisi di CodeQL in un flusso di lavoro di GitHub Actions rispetto a uno strumento di integrazione continua (IC) di terze parti.
- Spiegare come configurare l'analisi del codice in un repository usando eventi di attivazione.
- Confrontare la frequenza dei flussi di lavoro di analisi del codice (pianificati o attivati da eventi).
Prerequisiti
- Un account GitHub
- Familiarità con la gestione delle impostazioni amministrative di GitHub
- Conoscenza di base di GitHub Actions